SQL Tips für bestimmte Tabellenstruktur

[Daaron]

Mal sehen... 10€/Monat für 2.5GB... Das ist schon mal ne ganze Stange, tatsächlich ist das ein totaler Schweinepreis. Bei Strato kriegst du für 9€ 3 Domains,60 GB Webspace, 20 Datenbanken, 20 App-Installationen, 50 FTP-Zugänge. Bei 1&1 kriegst du für 10€ sogar unbegrenzt Webspace.
Nun, weder Strato noch 1&1 würd ich persönlich nehmen, denn bei denen sind die Maschinen oft etwas überbucht und die Performance lässt somit zu wünschen übrig. Aber dafür könntest du die 10€ auch zu Hosteurope tragen, da kriegst du immer noch ein deutlich besseres Paket.


Was die Sicherheit angeht, da haut dich tecspace aber links und rechts übers Ohr. Das ist schon grob fahrlässig und gemeingefährlich, was die da treiben. Dafür sollte man die eigentlich anzeigen, da gibts sicher n Straftatbestand irgendwo dafür.
- die Apache-Version ist fast 5 Jahre alt. Aktuell im 2.2er Tree wäre 2.2.27. Hier haste ne schöne Liste aller Lücken seit damals... https://httpd.apache.org/security/vulnerabilities_22.html
- deine PHP-Version hat ebenfalls einen Bart und so manche kritische Lücke, inklusive Remote Code Execution über manipulierte Request-Parameter
- deine MySQL-Version dürfte sogar noch diese tolle Lücke haben, durch die man sich ohne korrektem Passwort einloggen kann

Wenn ich dann noch sehe: "Vorinstallierte Anwendungen - Roundcube & phpMyAdmin"... Ok, Roundcube geht leidlich, was die Lücken angeht, aber phpMA? Das hat quartalsweise brutalste Lücken, und es gibt Unmengen aktiver Bots, die genau nach diesen Lücken scannen. Das schöne: Eine phpMA-Lücke erlaubt oftmals Root-Zugriff auf MySQL....


Und was die Sache mit den Passwörtern angeht, die dir da aufgefallen ist: Siehe oben... Uraltes PHP & auch sonst alles Scheiße -> keine korrekte Implementierung der Crypto-API -> md5 statt was Ordentlichem -> Datenfiasko vorprogrammiert

 

[lordg2009]

hosteurope sieht eigentlich sehr gut aus. Das Basispaket bringt 5GB mit sich.

InnoDB wird nicht unterstützt. Was mach ich da mit meinen InnoDB Tabellen?
Einfach in MyISAM konvertieren?

PHPMyadmin erlaubt bei tecspace nur einen Datenbankupload bis 2048KB. Meine Datenbank ist aktuell bei 4,7MB, kann ich diese dann bei hosteurope importieren? Welches webinterface gibt es dort zum verwalten der Datenbanken?

Das wichtigste zum Schluss, schaffe ich es, dass meine Seite ohne große Unterbrechung weiterhin erreichbar ist. Die Domain ist jetzt bei tecspace registriert, wie bekomme ich sie bei hosteurope registriert?

 

[echoDave]

Ich bin seit Jahren bei http://all-inkl.com, Verfügbarkeit, Service und Leistung für den Preis ist top.

Hatte nie Probleme, habe die Wiederherstellungsfunktion des Webspace öfters beim Support angefordert, wenn ich beim testen zu viele Dateien gelöscht habe, oder meine Page zerschossen habe. Funktioniert wunderbar.

 

[Daaron]

Dann schau doch auch mal, was für Server all-inkl verwenden. Das wäre viel eher interessant, statt nur zu loben, dass deren Support gut ist. Poste doch mal, welche Versionen von Apache, PHP, MySQL und OpenSSL da laufen.
Aber eines kann ich dir sagen: Die erste Sicherheitslücke hab ich bei denen schon gefunden, ohne auch nur wirklich zu suchen. Geh mal auf http://all-inkl.com/mysqladmin/ und schau dir den Login-Screen an. Jetzt vergleich mal mit dem Login des aktuellen Stable-Releases.

 

[echoDave]

Dann schau doch auch mal, was für Server all-inkl verwenden. Das wäre viel eher interessant, statt nur zu loben, dass deren Support gut ist. Poste doch mal, welche Versionen von Apache, PHP, MySQL und OpenSSL da laufen.
Aber eines kann ich dir sagen: Die erste Sicherheitslücke hab ich bei denen schon gefunden, ohne auch nur wirklich zu suchen. Geh mal auf http://all-inkl.com/mysqladmin/ und schau dir den Login-Screen an. Jetzt vergleich mal mit dem Login des aktuellen Stable-Releases.

Mal davon abgesehen, dass ich deine Antwort arrogant und unverschämt finde, finde ich nicht dass die so veraltete Versionen benutzen wie du es darstellst.

Php = 5.3.28
OpenSSL = 1.0.1
MySQL = 5.5.35

Und ich habe das niedrigste Paket, wer weiß wie die Versionen bei besseren Paketen aussehen.

Apache konnte ich grad net rausfinden welche Version, finde den Punkt in der phpinfo nicht.

 

[lordg2009]

Ich denke nicht, dass Daaron das arrgant meint. In den Jahren, die ich hier im Forum unterwegs bin, kam ich schon häufiger in den Genuss seiner Antworten, die stets zu den kompetentesten gehören.
Anscheinend ist er jemand direkt vom Fach, denn es kommen immer Lösungsvorschläge, die von ihrer Qualität wohl auch für komerzielle und Sicherheitskritischere Anwendungen geeignet sind.
Ob dies für mich als Student, der in seiner Freizeit gerne mal programmiert immer nötig ist, steht in einem anderen Buch.

Ich jedenfalls finde es spannend, versuche auch immer Fehler zu vermeiden und lerne gerne dazu.
Das System von tecspace scheint so stark veraltet zu sein, dass es auch für einen Freizeitprogrammierer nicht geeignet ist.
Von daher besteht hier für mich Handlungsbedarf. Welchen Anbieter ich hier wähle, ist noch nicht entschieden, aber darum geht es hier ja auch.

Die Anbieter bieten in der Regel die Möglichkeit an, mit seiner Domain 'umzuziehen'. Hat da jemand von euch Erfahrung mit? Wie lange dauert das. Gibt es eine Leerzeit zwischen dem Abmelden auf dem einen Server und dem Anmelden auf dem anderen Server? Wie lang ist diese?

Ist es wirklich so, dass ich mit besseren Paketen neuere Versionen nutzen kann? Ich finde schon, dass das eine Frechheit ist. Größere Pakete sollten sich doch durch einem erweiterten Funktionsumfang auszeichnen und nicht dadurch, dass ich weniger Sicherheitslücken untergejubelt bekomme.

An dieser Stelle noch mal ein Dank an Daaron für die vielen, stehts hilfreichen Kommentare

 

[Daaron]

Mal davon abgesehen, dass ich deine Antwort arrogant und unverschämt finde, finde ich nicht dass die so veraltete Versionen benutzen wie du es darstellst.

Ich habe explizit nur phpMA kritisiert, denn da sieht man schon dem Login-Screen den Methusalem-Bart an. Das ist irgend eine Steinzeit-Version aus dem 3er Tree, und die sind nun einmal stark anfällig für allerlei Exploits.

Ob die anderen Pakete aktuell sind oder nicht steht auf einem anderen Blatt. Hier sieht es in der Beziehung schon recht anständig aus. Aber: Da muss man eben auch tatsächlich mal nachgucken und nicht blind den Anbieter über den grünen Klee loben. Gesunde Skepsis ist der erste Schritt zur IT Sicherheit.
Aber andererseits: Was nutzt dir ein aktueller PHP- oder MySQL-Build, wenn ein Angreifer über Steinzeitversionen von phpMyAdmin oder anderen Tools eh einen Freifahrtschein für die Maschine hat?

Die Anbieter bieten in der Regel die Möglichkeit an, mit seiner Domain 'umzuziehen'. Hat da jemand von euch Erfahrung mit? Wie lange dauert das. Gibt es eine Leerzeit zwischen dem Abmelden auf dem einen Server und dem Anmelden auf dem anderen Server? Wie lang ist diese?

Im Endeffekt läuft es auf die maximale Lebensdauer des DNS-Eintrags raus. Das dürften effektiv maximal 24h sein, oftmals aber viel weniger.
Im Zweifel musst du dich mit beiden Providern auseinander setzen, in wiefern ein möglichst nahtloser Übergang möglich ist. Die Support-Crew kennt die Problematik ja zu Genüge und kann dir da gezielt weiter helfen.

Ist es wirklich so, dass ich mit besseren Paketen neuere Versionen nutzen kann? Ich finde schon, dass das eine Frechheit ist.

Dem ist auch nicht so. Sich freiwillig veraltete Versionen ans Bein zu binden wäre doch ein wirtschaftlicher Totalschaden. Wenn PHP, MySQL oder Apache Lücken haben, dann sind das Lücken, die die Integrität der gesamten Maschine und oftmals "benachbarter" Maschinen gleich mit gefährden.

Hier zum Beispiel mal ein netter kleiner Angriffsvektor mit veraltetem MySQL.
-> MySQL - Lücke, die es ermöglicht, sich ohne gültiges Passwort einzuloggen. Gabs vor ~2 Jahren. Also gleich mal als MySQL Root-User einloggen...
-> SELECT "<?php system($_REQUEST['cmd']); ?>" INTO OUTFILE "mybackdoorshell.php"
-> Nun ja, was du jetzt anstellen kannst, wenn du domain.tld/mybackdoorshell.php?cmd=... aufrufst, das kannst du dir sicher denken.

Kein Admin der Welt würde sich freiwillig solchen Vektoren aussetzen, nur um ein paar Premium-Kunden 5€ extra abzuknöpfen.
Nein, für größere Pakete gibt es maximal mehr nette Features, wie eben z.B. InnoDB statt nur MyISAM. Hinsichtlich der Sicherheit passiert da aber nichts.

 

[lordg2009]

Mit der maximalen Lebensdauer des DNS Eintrages ist das auch so eine Sache.

Wie gesagt hatte ich zu Beginn der Geschichte die Seite auf meinem privaten Server liegen. Um dennoch eine Domain zu beziehen, habe ich bei Tecspace nur die Domain angelegt und einen Header Redirect auf den DynDNS Eintrage meines Servers gelegt. Hatte damals vergessen, ein Häkchen bei 'inkl. www' zu setzen. Beim eröffnen eines Webspace auf tecspace, habe ich den den Header-Redirect rausgenommen und zusätzlich noch das 'www' mit in die Domain genommen. Auf meinem privaten Server hatte ich eine kleine Meldung mit einem Redirect geschalten, da einige Nutzer der Seite die dynDNS zu den Favoriten geschalten haben. Das ist jetzt über einen Monat her und merkwürdiger Weise ist die Domain ohne 'www' immer noch gültig und leitet nach wie vor zu meiner DynDNS um. Den Redirect auf meinem HomeServer habe ich schließlich abgeschalten, damit nicht noch neue Leute die DynDNS speichern.
Muss ich mich an tecspace wenden, wenn ich die Domain ohne 'www' ageschalten haben möchte? Im webinterface kann man nicht beide Domains registrieren. Entweder man setzt ein Häkchen, oder eben nicht.

 

[echoDave]

@Daaron:

phpMyAdmin Versionsinformationen: 4.1.14